目录
此内容是否有帮助?

# GDPR について

# GDPR の概要

2018 年 5 月 25 日、EU は「一般データ保護規則」(GDPR、General Data Protection Regulation)を発表した。GDPR は史上最も厳しく、最も有益な個人のデータ保護を強化する規則である。

海外進出の需要がますます高まっている今、中国企業が海外に進出する中、データ収集、処理、応用などの面で GDPR の監督と管理に直面します。

GDPR は主に EU ユーザーの個人データを保護し、EU 向けにサービスを提供するアプリやゲームは GDPR を遵守しなければなりません。

GDPR は、データコントローラー(Controller)とプロセッサー(Processor)の 2 種類の役割を定義します。ThinkingData の主なデータ製品である ThinkingAnalytics(以下、TA システム)は、ほとんどの場合データプロセッサーの役割を果たし、お客様はデータのコントローラーです。いずれの役割も GDPR の対象となりますので、当社の製品使用中は、お客様の GDPR コンプライアンスをサポートし、潜在的なリスクを回避します。

データコントローラーとして、GDPR に定められた 6 つの原則を遵守する責任があります。遵守しない場合、責任が問われます。

  • 適法、公正、透明性(lawfulness, fairness and transparency):個人データは合法、公平、透明な方法で処理する
  • 目的の制限(purpose limitation):収集されたデータは限定された目的にしか使わない
  • データ最小化(data minimisation):必要かつ意味のあるデータのみを収集
  • 正確性 (accuracy):データは正確でタイムリーで、不正確な情報を更新、削除することが可能
  • 記録保存の制限(storage limitation):データは処理が完了した後、速やかに削除
  • 完全性と機密性(integrity and confidentiality):データの保存の安全性を保証し、不正なデータアクセスを阻止し、データが破壊されたり紛失されたりすることを防ぎく

以上に加えて、ユーザーの以下の権利を確保する必要があります。

  • 知る権利(Right to be Informed):データコントローラーは、ユーザーにデータコントローラーの情報、個人データの種類、データ処理の目的および法的根拠などを提供する必要がある。
  • アクセス権(Right of access):ユーザーは個人のデータの取得と処理が可能
  • 訂正権(Right to rectification):ユーザーは正しくない個人データを訂正する権利がある
  • 削除権(Right to erasure):ユーザーは個人データを削除する権利がある
  • 処理の制限権(Right to restriction of processing):特定の状況(データが正確でない場合など)で、ユーザーは個人データの処理の制限が可能
  • 転送権(Right to data portability):ユーザーは個人データを他のデータコントローラーに転送することは可能
  • 拒否権(Right to object):ユーザーは以前の個人データ処理への同意を撤回することは可能
  • 自動化決裁に制限されない(Right not to be subject to a decision based solely on automated processing, including profiling):ユーザーは個人データが自動化決裁(画像を含む)に採用されるかどうかを知る必要があり、データがこれらのシステムに採用されることを拒否する権利がある

データ収集はユーザーの同意が必要で、同意は明確でなければならなりません。ユーザーは「拒否権」に基づいて、以前の同意を撤回できることにご注意ください。

ThinkingData は専門的なサービス提供者として、効率的なソリューションを提供し、中国企業の海外業務の成長の支援に取り組んでいます。以下は ThinkingData が GDPR の主要内容に対するコンプライアンス規定と意見です。

# GDPR コンプライアンス規定

# カスタマイズ収集を完全にサポートし、データ収集のコンプライアンスを確保

TA システムは、データ収集側で完全にカスタマイズ収集を提案します。つまり、顧客は実際のニーズとビジネス領域に基づいて、ユーザー情報と行動データの収集を決定することができます。また、TA システムが提供するすべてのデータ収集案は、クライアント SDK、サービス SDK、データインポートツール Logbus などに限らず、これらの原則を完全に遵守し、ユーザーのプライバシーに関連するデータを強制的に収集することはありません。開発者が業務の要件で、ユーザーのクライアント側のデータを収集する必要がある場合、ユーザーのクライアント側にも関連の通知があり、ユーザーの知る権利が確保されます。具体的なデータ収集案は、インポートガイドをご参照ください。

また、収集の目標が明確な場合、TA システムが提供されるカスタム収集機能で、ニーズを満たす最小のデータセットを収集して、「データ最小化」の原則を満たすことをお勧めします。

# ユーザーデータの更新、削除、転送

TA システムは、データ収集側で、user_setuser_deleteなどの方法で、指定されたユーザーデータの更新および削除をサポートします。また、enableTrackingメソッドを提供して、あるクライアントのすべてのデータのアップロードを一時停止し、ユーザーがデータ収集に同意しない場合にインターフェイスを呼び出すことができます。

TA システムに受信、保存されたデータは、TA システムのデータ削除ツールで特定のユーザのユーザデータと関連のイベントデータを削除することができます。具体的な操作はデータ削除ツールをご参照ください。

格納済データの場合、TA システムは複数の導出案を提供しています。例えば、API を介したデータ導出

まとめると、上記のカスタマイズ収集のほか、開発者の収集ニーズとユーザーの実際のニーズが変化している中、TA システムはユーザーデータの更新、削除、転送をサポートすることができます。そのため、ユーザーに GDPR で規定されている「訂正権」、「削除権」および「転送権」を提供することができます。

# データ全ライフサイクルの透明、監査可能、高可用性、高信頼性

TA システムは、データ収集、受信、処理、保存、計算、および応用を統合したユーザーの行動分析ツールであり、データはライフサイクルのすべてのプロセスで透明で監査可能です。TA システムは、各プロセス内のすべてのデータコンポーネントへのアクセスと操作をサポートし、データの生成から応用までのすべてのプロセスが追跡可能であることを保証します。

実際のデータ応用の過程で、特定の理由でシステム内の一部を監査する必要があるとなった場合、ThinkingData は可能な限り関連の技術サポートを提供し、プロセス全体の透明性を保証します。

同時に、TA システムは、「データの完全性と機密性」の原則に準拠し、データサービスとデータストレージの完全性を確保するために、すべてのコンポーネントの高可用性と高信頼性を実現しました。

# その他の意見

ThinkingData は第三者のデータサービス提供者として、常に製品面でお客様の GDPR コンプライアンスの実現の支援に取り組んでいます。

A.プライバシーポリシーの作成

製品のプライバシーポリシーを作成し、GDPR コンプライアンスに関する標準条項を追加することを強くお勧めします。

B.ユーザーの知る権利の保護

お客様の製品では、明確なデータ収集同意申請を提供する必要があり、ユーザーが同意した場合にのみデータ収集を許可します。ユーザーデータを収集する際に、デフォルトで収集されるものではなく、ユーザーが知っていることを確保します。